《浅析省级BOSS系统安全认证审计解决方案7248.docx》由会员分享,可在线阅读,更多相关《浅析省级BOSS系统安全认证审计解决方案7248.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、BOSS系统是是中国移动面面向用户服务务的综合性业业务支撑系统统,含有众多多敏感数据。为为了确保系统统安全,部分分省级公司实实施了安全认认证审计的综综合安全解决决方案,取得得了比较好的的效果。 目前绝大多数移移动公司已经经在网络级、系系统级安全防防护方面部署署了相关的安安全产品,但但是这些是针针对外部防护护安全,而缺缺少在应用级级安全防护措措施,例如非非授权用户访访问、存在一一部分公用账账户、管理员员对BOSSS系统的管理理维护和对数数据的读写缺缺少审计日志志等,因而有有可能出现用用户详单外泄泄或用户数据据被篡改等事事件发生后无无法追查,进进而给移动公公司造成较大大的经济损失失和社会影响响。为
2、从根本本上解决上述述安全隐患,业业内不少厂家家提出了不同同的解决办法法,下面以某某省移动公司司为例介绍其其采用的ACCA(Autthentii-catiion Coontroll Audiit)安全认认证解决方案案。 针对该移动公司司的业务运营营支撑系统已已部署的安全全产品,结合合目前的安全全需求,该移移动通信公司司提出在BOOSS系统上上建立的安全全审计认证系系统必须具备备如下功能: 1. 加强用户户身份防护,防防止合法用户户身份轻易泄泄漏; 2. 实现对应应用系统访问问的操作过程程进行审计; 3. 对业务运运营支撑系统统内重要业务务主机之间的的通信进行审审计; 4. 及时对业业务系统的非非
3、法操作和访访问做出响应应; 5. 为用户提提供统一的远远程维护登录录接口,包括括某些特殊情情况下处理突突发事件提供供统一登录接接口。 总体方案设计 通过分析该省业业务系统现状状及安全审计计认证需求,决决定采用以下下技术方式实实现。具体实实现逻辑架构构图如图1所所示: 1. 在整个应应用平台之前前增加统一的的身份认证安安全模块,对对系统管理员员、操作员及及厂商维护人人员等内部合合法用户身份份进行认定。 2. 在整个应应用平台之前前增加统一的的访问控制安安全模块,结结合系统管理理员、操作员员及厂商维护护人员等内部部合法用户的的身份赋予其其不同的访问问权限并对其其访问相关业业务主机进行行控制; 3.
4、 在整个应应用平台之前前增加统一的的应用审计安安全模块,对对系统管理员员、操作员及及厂商维护人人员等内部合合法用户访问问相关业务主主机的操作进进行日志记录录并提供事后后的安全审计计报告。 该移动公司业务务系统安全产产品的部署如如图2所示。其其中被保护的的应用都通过过直接或者是是间接的方式式接入BOSSS系统核心心交换机,并并且两台核心心交换机之间间做了负载均均衡。 为审计所有有相关的数据据,这里部署署了两台ACCA安全服务务器,其抓报报端口分别通通过SPANN连接两台交交换机上,这这样就可以通通过侦听、抓抓报的方式得得到相关的数数据,而且对对原有系统不不产生任何影影响。 为了对合法法用户进行身
5、身份认证,在在业务运营支支撑系统内部部署了ACAA管理中心,通通过ACA管管理中心可以以为合法的用用户(系统管管理员、操作作员、厂商开开发人员等)发发放相关的数数字证书令牌牌。 通过部署AACA管理中中心,我们可可以对相关的的合法用户(系系统管理员、操操作员、厂商商开发人员等等)进行访问问授权,通过过他们与ACCA安全服务务器的控制通通信接口下发发相关的访问问授权策略,由由ACA安全全服务器进行行相应的用户户策略控制。 要进行操作作审计的对象象在ACA管管理中心进行行审计策略设设置并下发到到ACA安全全服务器进行行与策略相关关的抓报审计计工作,抓到到的相关数据据包提交到AACA审计中中心并存储
6、到到相关的存储储设备中以备备事后审计。 当紧急事件件发生时,如如果管理员或或开发厂商不不在公司,需需要用拨号的的方式接入公公司内网,进进行系统维护护,ACA系系统可以支持持如下解决方方案:在核心心交换机接入入相关数量的的堡垒主机来来提供接入通通道。 由于要对使使用拨号方式式访问公司内内部业务主机机的用户进行行审计与控制制,所有通过过堡垒主机访访问公司内部部业务主机的的所有数据流流必须经过核核心交换机,这这样安全服务务器就可以对对其进行控制制与审计。 系统构建 系统各主要组成成部分及主要要功能如下: 1ACA安全全服务器提供供客户登录认认证、权限控控制、抓包日日志记录、阻阻断非法连接接等功能。
7、2ACA管理理中心提供主主机与用户的的登记和管理理、主机与用用户安全策略略的管理、数数据过滤管理理、开放主机机管理、信任任客户IP管管理、安全服服务器策略管管理、系统设设置、安全服服务器配置管管理、实时监监控管理、用用户登录审计计管理等功能能。 3ACA审计计中心提供存存储审计日志志、IP包审审计管理、数数据库备份管管理、查看导导出数据等功功能。 4ACA客户户端提供基于于USB硬件件的身份认证证、用户授权权依据、登录录ACA安全全服务器等功功能。 ACA安全服务务器部署在核核心网络与其其他网络的交交汇处(路由由器或交换机机上),并接接在网络设备备上,网络设设备将外来数数据流SPAAN(镜像)
8、给给ACA安全全服务器。 ACA系统的审审计数据存放放在ACA审审计中心服务务器内,并通通过ACA审审计中心控制制台对记录下下来的审计日日志进行处理理。 ACA客户端是是一套客户端端软件和一个个USB令牌牌,软件安装装在客户端用用户的PC上上,插入USSB令牌,登登录ACA安安全服务器进进行认证,之之后即可进行行其正常的、权权限内的业务务操作。如果果越权访问,将将会断开连接接,并返回“拒拒绝连接”的的信息。 上述四个部分组组成的系统,都都是在网络层层进行工作,不不需要嵌入用用户的业务系系统,安装配配置简单,应应用环境要求求少,极易进进行测试、试试用和广泛应应用。 系统部署风险分分析 由于安全服
9、务器器是通过SPPAN并行接接在网络中,所所以用户数据据流不是穿过过该设备,而而是旁路,安安全设备只是是监听数据流流,对非法数数据做出反应应,即使安全全设备死机也也不会对用户户业务造成影影响(当然,此此时的安全功功能自然消失失)。客户端端系统只是用用于与中心安安全设备交互互信息,与用用户的业务系系统毫无牵连连。当中心端端安全安全服服务器不启用用时,客户端端用户也可正正常操作其业业务系统。所所以,若遇意意外情况要恢恢复原有系统统,只需将安安全服务器关关机,即可立立即恢复到原原有网络状况况。 为了让ACA系系统的部署达达到预期的目目标,系统针针对各种用户户对相关业务务的访问方式式有针对性地地添加了
10、ACCA系统访问问控制策略,但但不对所有策策略生效,只只对用户策略略进行生效,确确保主机的通通信可以正常常。如果有意意外情况发生生,只需拆出出ACA安全全服务器与CCISCO 4507之之间的抓包线线路即可恢复复原有系统网网络环境。 ACA系统部署署完成后如有有意外情况发发生,断开AACA安全服服务器的抓包包连接,即可可恢复原有业业务运营支撑撑系统网络环环境、应用环环境。 解决方案特点 该BOSS系统统安全认证审审计方案具有有如下特点: 1. 客户端采采用USB令令牌硬件作为为身份证。由由于以前的口口令/用户名名认证机制不不便于管理,容容易造成滥用用,该安全系系统采用硬件件作为身份证证,并可保
11、证证不被复制和和读取,一旦旦出现丢失,管管理员在中心心可以马上进进行作废处理理。 2. 对系统管管理员、操作作员、厂商开开发人员进行行跨业务平台台的集中审计计。审计管理理员可以根据据需要进行审审计,从而大大大增强了系系统的审计能能力,为事后后的故障分析析提供了充分分的证据。 3. 集中管理理访问授权便便于控制。安安全系统管理理人员可以随随时对每个客客户端进行策策略配置和修修改,允许访访问哪些服务务器,不允许许访问哪些,并并可详细控制制访问哪些端端口号、哪些些数据需要审审计、是上行行数据或下行行数据、哪些些网络需要保保护、哪些客客户端网络可可以自由访问问等。 4. 作为防火火墙的补充,弥弥补防火
12、墙的的缺陷。防火火墙只能基于于远程主机(IIP地址和端端口号)进行行控制,而不不能针对操作作人员本身进进行权限控制制,同时,防防火墙的审计计功能也很薄薄弱,ACAA系统则能很很好地解决这这两个问题。 5. 对原有系系统无影响。中中心端的ACCA安全服务务器是并接在在网络上的,用用户数据流不不是穿过该设设备。若要恢恢复原有系统统,只需将安安全服务器关关机,即可立立即恢复到原原有网络状况况。 6. 自动切断断非法访问。一一旦发现非法法连接,安全全安全服务器器自动发出切切断信息给访访问者和被访访问者,断开开该连接。弥弥补了其他安安全系统的漏漏洞,进一步步加强了系统统的安全性。 7. 基于X.509数字字证书的强身身份认证。不不论访问中心心的哪个服务务器,都需要要到安全服务务器进行认证证,同时服务务器本身的认认证仍是需要要的,这样更更加强了系统统的安全性。 通过对该省所采采用的这套AACA系统在在实际使用中中的情况分析析,已经证实实该系统在BBOSS系统统的实际运行行中起到了非非常重要的安安全保障作用用。同时,该该系统又是一一套很好的跨跨平台的、绿绿色的安全管管理系统。